Umstellung LDAP zu LDADPS

Mitglied: Peterz

Peterz (Level 1) - Jetzt verbinden

25.02.2020 um 11:59 Uhr, 2455 Aufrufe, 4 Kommentare

Hallo,
ich habe eine Frage zu LDAPS.

MS will ja im Laufe des Jahres die Kommunikation zu den Domänencontrollern mit LDAP unterbinden und nur noch LDAPS unterstützen.

Muss ich jetzt eine eigene CA installieren, damit z.B. eine Applikation eine LDAPS Abfrage gegen das AD richten kann oder gibt es andere Wege über LDADPS zu kommunizieren?

Gruß
Peter
Mitglied: 143127
143127 (Level 2)
LÖSUNG 25.02.2020, aktualisiert um 12:06 Uhr
Muss ich jetzt eine eigene CA installieren
Das ist kein Muss aber bequemer bei der Verteilung, es müssen eben deine Server und Clients dem Zertifikat vertrauen, wenn du keine MS CA nimmst musst du halt manuell sicherstellen (z.B. Deployment des Root CA Zertifikats per GPO) das das Root-Zertifikat deiner verwendeten oder selbst erstellte CA auf die Clients und Server verteilt wird damit sie dem Zertifikat vertrauen schenken. Hier stehen weitere Details zur Einrichtung
Windows LDAPs - Zertifikate als Voraussetzung schaffen - Signaturanforderung für LDAP-Server erforderlich
Bitte warten ..
Mitglied: Peterz
25.02.2020 um 12:42 Uhr
Vielen Dank für die Antwort und den Link,
Da wir nur zwei Anwendungen haben, die den DC über LDAP anfragen, werde ich mir wohl ein Zertifikat mit Open SSL oder XCA vom DC erstellen und den Applikationen zur Verfügung stellen.
Das sollte dann doch genügen.

Gruß
Peter
Bitte warten ..
Mitglied: 143127
143127 (Level 2)
LÖSUNG 25.02.2020, aktualisiert um 13:24 Uhr
Zitat von Peterz:
Da wir nur zwei Anwendungen haben, die den DC über LDAP anfragen, werde ich mir wohl ein Zertifikat mit Open SSL oder XCA vom DC erstellen und den Applikationen zur Verfügung stellen.
Das sollte dann doch genügen.
Überprüfen ist besser als "hoffen" das es nicht noch andere Anwendungen im eigenen Netz gibt. Lies dir dazu den folgenden Artikel durch, unter anderem besonders den Abschnitt "Auswerten"
https://www.msxfaq.de/windows/sicherheit/ldapenforcechannelbinding.htm
Beachtung gilt es auch den Clients zu schenken auf denen bspw. Skript (Logon/Startskripte) laufen die über LDAP z.B. Daten abfragen oder schreiben. Vertrauen diese dem Root-Cert nicht, ist dort nämlich auch Feierabend.
Bitte warten ..
Mitglied: Peterz
25.02.2020 um 13:25 Uhr
Das werde ich machen, danke für den Hinweis.
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
DSGVO-konforme Löschsoftware für Festplatten
alwayshungryVor 1 TagFrageDatenschutz38 Kommentare

Hallo zusammen, welche Software gibt es, damit man DSGVO-konform Festplatten löschen kann? Ich kenne zwar Blancco, aber gibt es denn da keine gesetzeskonforme Alternativen? ...

Windows Netzwerk
Wie VPN in Zeiten von HomeOffice einfach gestalten
VizKyneticVor 1 TagFrageWindows Netzwerk15 Kommentare

Moin! Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten. Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über ...

TK-Netze & Geräte
Panasonic NS700 an S0 von Fritzbox
jensgebkenVor 1 TagFrageTK-Netze & Geräte43 Kommentare

Hallo Gemeinschaft, gibt es eine Möglichkeit meine gebrauchte NS700 mit einer Fritzbox zu verbinden, so dass ich auch raustelefonieren kann - hinter der NS ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 109 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 5 StundenIMHOWünsch Dir was20 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...